2016.05.17

해커들이 악용하는 4가지 '감정'

Sarah K. White | Network World
본 기고문은 벤더가 작성했지만 특정 제품이나 서비스를 알리는 내용을 담고 있지 않다.

해커가 특정 시스템, 기업, 개인을 공격하거나 해킹하는데 있어 전문 지식이 중요한 것은 물론이다. 그러나 종종 간과되는 점이 있다. 소셜 엔지니어링 같은 '속임수'는 기술적 게임인 동시에 '심리 게임'이기도 하다는 점이다. 따라서 이런 종류의 공격을 방어하는 대책에는 '인간'에 대한 고려도 포함돼야 한다.

이를 위해서는 공격자들이 사람의 감정을 어떻게 공격에 유리하게 이용하는지 이해해야 한다. 여기 해커들이 소셜 엔지니어링 공격에서 즐겨 이용하는 4가지 감정과 행동, 특정 공격의 특징과 악용하는 감정, 조직과 직원들이 향후 이런 종류의 공격을 방어하는데 도움을 줄 중요 고려 사항 몇 가지를 소개한다.

- 두려움: 누군가 또는 무언가 (고통이나 위협 등) 위험을 초래한다고 생각할 때 생기는 불쾌한 감정이다.
두려움은 가장 강력한 동기 유발 요소 가운데 하나로, 소셜 엔지니어링에서 가장 많이 악용되는 감정이기도 하다. 온라인 뱅킹 계정이 침해 당했으니 비밀번호를 변경하라는 가짜 이메일, 긴급한 보안 침해 상황을 알리는 은행의 통지문 등을 예로 들 수 있다. 이런 '스캠(사기행위)'은 특정인이나 집단을 대상으로 특정한 위협을 이용하기도 한다. 또 피해자에게 위험한 상황을 피하거나 바로잡기 위해 신속히 행동할 것을 촉구하는 경향도 있다.

세금 신고 기간을 악용한 소셜 엔지니어링을 예로 들 수 있다. 최근 사이버 범죄자들은 IRS에서 훔친 정보를 이용, 납세자에게 전화를 걸어 위협했다. 이들 공격자는 지금 당장 가짜 IRS 계좌에 송금을 해, 세금 신고가 잘못된 것을 바로잡지 않으면 처벌을 받을 수 있다고 협박했다.

- 복종: 법과 명령, 요청, 또는 타인의 권한을 따르는 감정을 의미한다.
복종을 이용하는 소셜 엔지니어링 스캠은 종종 법 집행 기관이나 회사 경영진 등 권력이 큰 사람이나 집단이 보낸 이메일, 인스턴트 메시지, 전화 통화, 음성 메시지 형태를 가진다. 어려서부터 '권위(정부)'를 믿고 존중하라고 배우기 때문에 이런 커뮤니케이션의 진위에 질문을 묻지 않고, 지시와 요구, 안내를 따르게 되는 경향이 있다.

그러나 이런 '권위'에 대한 신뢰가 중대한 결과를 초래할 수도 있다. 예를 들어, 대형 장난감 기업인 마텔은 CEO가 재무 담당 임원에게 중국의 한 벤더에게 결제를 하라고 지시하는 가짜 이메일에 속아 300만 달러를 사기 당했다. 이 사건은 다행히 '해피 엔딩'으로 끝났다. 중국 정부가 사기 당한 돈을 찾아 돌려줬기 때문이다. 그러나 이 사건은 피싱 공격에서 권위에 대한 복종이 악용되고 있음을 보여준다.

- 욕심: 부나 권력 등을 추구하는 욕구다.
욕심이라는 감정을 악용하는 공격은 통상 금전적인 보상을 제시하며 특정 행동을 유도한다. 일명 '419 나이지리아 스캠'이 대표적이다. 작은 행동이나 돈을 전제로 큰 보상을 약속하는 나이지리아 정부 또는 관료 명의의 가짜 전화나 이메일을 이용하는 사기 행위이다. 표적이 된 사람은 보상을 받기 위해 은행 계좌 정보를 알려줄 것을 요구받는다.

2013년, 호주의 한 나이지리아 스캠 피해자는 AusCERT 컨퍼런스에서 4년 동안 30만 달러를 사기 당했다는 사실을 공개하기도 했었다. 이 피싱 공격은 금전욕이 합리적인 판단력을 압도하도록 유도한다.

- 이타심: 다른 사람을 돕고 싶어하는 감정이다.
사이버범죄자들이 소셜 엔지니어링 공격을 하면서 '부정적인 감정'만을 이용하는 것은 아니다. 4번째로 가장 많이 악용하는 감정은 다른 사람을 돕고 싶어하는 감정이다. 고객 지원이나 고객 서비스 부서가 표적이 되는 때가 많다. 공격자들은 사람들을 도와주고 행복하게 만들고 싶어하는 감정을 악용해 필요한 것 이상의 정보를 탈취한다.

최근 미디엄(Medium)에서 공개된 아마존닷컴 고객 서비스의 백도어를 예로 들 수 있다. 한 해커가 쇼핑객의 아마존 계정에 대한 액세스 권한을 획득했었다. 그러나 이름과 이메일, 정확하지 않은 주소만 탈취할 수 있었다. 하지만 고객 지원 담당자와 온라인 채팅을 통해 정확한 개인 정보를 빼냈다.

이를 이용해 신용 카드 정보를 확인, 아마존 계정을 이용해 제품을 구매했었다. 사실 고객 지원 담당자는 자신의 일을 했을 뿐이다. 그러나 해커는 이 직원의 고객을 돕고 싶어하는 감정을 악용하는 방법을 알고 있었다.

기업 환경의 보안에서는 소셜 엔지니어링 공격에 대한 방어가 정책 수립 및 직원 교육으로 귀결된다. 기업의 보안을 가장 많이 크게 위협하는 것은 내부의 위협이다. 최근 조사 결과에 따르면, 내부자가 데이터 침해 사고 원인의 43%를 차지한다. 절반은 악의가 없는 실수로 인한 침해였다.

IT와 보안 책임자는 해커의 진화된 전술을 이해해야 한다. 또 지속적으로 정책을 조정하고, 동료를 비롯한 직원들을 교육하면서 지식을 공유해야 한다. 예를 들어, 의심스러운 이메일이나 인스턴트 메시지를 받았을 때 한 발 물러나, 공격을 위해 감정이 악용되고 있는지 고려하도록 교육해야 한다. 특히 '긴급' 상황임을 앞세워 '긴급'한 조치를 요구해오는 경우를 의심하도록 한다면 많은 사고를 사전에 차단할 수 있다.

* Austin Whipple는 보안 컨설팅 및 관리 기업 베터클라우드(BetterCloud)의 선임 보안 엔지니어다. ciokr@idg.co.kr


2016.05.17

해커들이 악용하는 4가지 '감정'

Sarah K. White | Network World
본 기고문은 벤더가 작성했지만 특정 제품이나 서비스를 알리는 내용을 담고 있지 않다.

해커가 특정 시스템, 기업, 개인을 공격하거나 해킹하는데 있어 전문 지식이 중요한 것은 물론이다. 그러나 종종 간과되는 점이 있다. 소셜 엔지니어링 같은 '속임수'는 기술적 게임인 동시에 '심리 게임'이기도 하다는 점이다. 따라서 이런 종류의 공격을 방어하는 대책에는 '인간'에 대한 고려도 포함돼야 한다.

이를 위해서는 공격자들이 사람의 감정을 어떻게 공격에 유리하게 이용하는지 이해해야 한다. 여기 해커들이 소셜 엔지니어링 공격에서 즐겨 이용하는 4가지 감정과 행동, 특정 공격의 특징과 악용하는 감정, 조직과 직원들이 향후 이런 종류의 공격을 방어하는데 도움을 줄 중요 고려 사항 몇 가지를 소개한다.

- 두려움: 누군가 또는 무언가 (고통이나 위협 등) 위험을 초래한다고 생각할 때 생기는 불쾌한 감정이다.
두려움은 가장 강력한 동기 유발 요소 가운데 하나로, 소셜 엔지니어링에서 가장 많이 악용되는 감정이기도 하다. 온라인 뱅킹 계정이 침해 당했으니 비밀번호를 변경하라는 가짜 이메일, 긴급한 보안 침해 상황을 알리는 은행의 통지문 등을 예로 들 수 있다. 이런 '스캠(사기행위)'은 특정인이나 집단을 대상으로 특정한 위협을 이용하기도 한다. 또 피해자에게 위험한 상황을 피하거나 바로잡기 위해 신속히 행동할 것을 촉구하는 경향도 있다.

세금 신고 기간을 악용한 소셜 엔지니어링을 예로 들 수 있다. 최근 사이버 범죄자들은 IRS에서 훔친 정보를 이용, 납세자에게 전화를 걸어 위협했다. 이들 공격자는 지금 당장 가짜 IRS 계좌에 송금을 해, 세금 신고가 잘못된 것을 바로잡지 않으면 처벌을 받을 수 있다고 협박했다.

- 복종: 법과 명령, 요청, 또는 타인의 권한을 따르는 감정을 의미한다.
복종을 이용하는 소셜 엔지니어링 스캠은 종종 법 집행 기관이나 회사 경영진 등 권력이 큰 사람이나 집단이 보낸 이메일, 인스턴트 메시지, 전화 통화, 음성 메시지 형태를 가진다. 어려서부터 '권위(정부)'를 믿고 존중하라고 배우기 때문에 이런 커뮤니케이션의 진위에 질문을 묻지 않고, 지시와 요구, 안내를 따르게 되는 경향이 있다.

그러나 이런 '권위'에 대한 신뢰가 중대한 결과를 초래할 수도 있다. 예를 들어, 대형 장난감 기업인 마텔은 CEO가 재무 담당 임원에게 중국의 한 벤더에게 결제를 하라고 지시하는 가짜 이메일에 속아 300만 달러를 사기 당했다. 이 사건은 다행히 '해피 엔딩'으로 끝났다. 중국 정부가 사기 당한 돈을 찾아 돌려줬기 때문이다. 그러나 이 사건은 피싱 공격에서 권위에 대한 복종이 악용되고 있음을 보여준다.

- 욕심: 부나 권력 등을 추구하는 욕구다.
욕심이라는 감정을 악용하는 공격은 통상 금전적인 보상을 제시하며 특정 행동을 유도한다. 일명 '419 나이지리아 스캠'이 대표적이다. 작은 행동이나 돈을 전제로 큰 보상을 약속하는 나이지리아 정부 또는 관료 명의의 가짜 전화나 이메일을 이용하는 사기 행위이다. 표적이 된 사람은 보상을 받기 위해 은행 계좌 정보를 알려줄 것을 요구받는다.

2013년, 호주의 한 나이지리아 스캠 피해자는 AusCERT 컨퍼런스에서 4년 동안 30만 달러를 사기 당했다는 사실을 공개하기도 했었다. 이 피싱 공격은 금전욕이 합리적인 판단력을 압도하도록 유도한다.

- 이타심: 다른 사람을 돕고 싶어하는 감정이다.
사이버범죄자들이 소셜 엔지니어링 공격을 하면서 '부정적인 감정'만을 이용하는 것은 아니다. 4번째로 가장 많이 악용하는 감정은 다른 사람을 돕고 싶어하는 감정이다. 고객 지원이나 고객 서비스 부서가 표적이 되는 때가 많다. 공격자들은 사람들을 도와주고 행복하게 만들고 싶어하는 감정을 악용해 필요한 것 이상의 정보를 탈취한다.

최근 미디엄(Medium)에서 공개된 아마존닷컴 고객 서비스의 백도어를 예로 들 수 있다. 한 해커가 쇼핑객의 아마존 계정에 대한 액세스 권한을 획득했었다. 그러나 이름과 이메일, 정확하지 않은 주소만 탈취할 수 있었다. 하지만 고객 지원 담당자와 온라인 채팅을 통해 정확한 개인 정보를 빼냈다.

이를 이용해 신용 카드 정보를 확인, 아마존 계정을 이용해 제품을 구매했었다. 사실 고객 지원 담당자는 자신의 일을 했을 뿐이다. 그러나 해커는 이 직원의 고객을 돕고 싶어하는 감정을 악용하는 방법을 알고 있었다.

기업 환경의 보안에서는 소셜 엔지니어링 공격에 대한 방어가 정책 수립 및 직원 교육으로 귀결된다. 기업의 보안을 가장 많이 크게 위협하는 것은 내부의 위협이다. 최근 조사 결과에 따르면, 내부자가 데이터 침해 사고 원인의 43%를 차지한다. 절반은 악의가 없는 실수로 인한 침해였다.

IT와 보안 책임자는 해커의 진화된 전술을 이해해야 한다. 또 지속적으로 정책을 조정하고, 동료를 비롯한 직원들을 교육하면서 지식을 공유해야 한다. 예를 들어, 의심스러운 이메일이나 인스턴트 메시지를 받았을 때 한 발 물러나, 공격을 위해 감정이 악용되고 있는지 고려하도록 교육해야 한다. 특히 '긴급' 상황임을 앞세워 '긴급'한 조치를 요구해오는 경우를 의심하도록 한다면 많은 사고를 사전에 차단할 수 있다.

* Austin Whipple는 보안 컨설팅 및 관리 기업 베터클라우드(BetterCloud)의 선임 보안 엔지니어다. ciokr@idg.co.kr


X